ピンボールマシン リアル鬼ごっこ2

piyolog

piyokangoの備忘録です。セキュリティの出来事を中心にまとめています。このサイトはGoogle Analyticsを利用しています。

サポートケース管理システムへの不正アクセスから派生して行われたサイバー攻撃についてまとめてみた

2023年10月23日、Oktaは自社のサポートケース管理システムへ不正アクセスがあり、一部のOktaのユーザー企業がアップロードしたファイルを閲覧されたと公表しました。窃取されたファイルには認証情報などが含まれる場合があり、このファイルを悪用したとみられる活動を検知したとBeyondTrust、Cloudflare、1Passwordがそれぞれ対応などを公開しています。ここではこれら関連する情報をまとめます。

サポートシステムから顧客の認証情報を窃取

  • Oktaが不正アクセスの被害にあったのはサポートケース管理システム。攻撃者は不正アクセス後に特定のOktaユーザー企業がサポートシステム上にアップロードされたHARファイルを窃取していたとみられる。
  • Oktaはサポートケース管理システムへの不正アクセスに際し、システム自体に保存されている認証情報が悪用されたと説明。サービスアカウントはサポートケースの表示、更新の権限が付与されていた。盗まれた経緯については明確な説明は行われていないが、Oktaの従業員が管理するラップトップPCでChromeを使用しており、このブラウザでは個人プロファイルのログインが行われていた。加えて、このプロファイルにサービスアカウントのユーザーID、パスワードが保管されていた。Oktaは認証情報の流出は個人PCで使用していたGoogleアカウント、あるいは個人のデバイス自体が侵害されていた可能性があると説明。
  • は、ブラウザ上で生成される通信などのやり取りに関するデータなどをまとめたもので、Oktaは通常時よりサポートを行う際にユーザー企業へアップロードの要求を行う運用をしていた。HARファイルには第三者がなりすまして不正利用することが可能なcookieやセッショントークンなどが含まれる場合があり、Oktaは共有前にHARファイルに含まれるすべての資格情報とcookie、セッショントークンを削除するよう推奨していると説明。
  • Oktaは不正アクセスによって影響を受けたとみられるユーザー企業に対し連絡を取っており、公表時点で連絡がなければOktaの環境やサポートチケットに対して影響はないとしている。加えて今回不正アクセスに遭ったサポートシステムは、本番環境のOktaシステムやAuthO/CICのケース管理システムとは別であるため影響を受けないと説明。また自組織でも調査を可能とするようインディケーター情報(IPアドレス、ユーザーエージェント)を公開した。影響を受けたBeyondTrustも同様に調査に有効な侵害の兆候にかかる情報を掲載した。
サポートケース管理システムへの不正アクセスより派生して行われた攻撃の流れ
  • Oktaは今回の件を受け、次の4つの対応を行ったことを説明。
  1. 侵害されたカスタマーサポートシステムのサービスアカウント無効化
  2. Chrome Enterprise内の実装によりGoogle Chrome での個人 Google プロファイルの使用ブロック
  3. カスタマーサポートシステム用に追加の検出ルール、監視ルールを導入し監視を強化
  4. ネットワークロケーションに基づくOkta管理者セッショントークンのバインド

影響を受けた各社の対応

  • Oktaに共有したHARファイルを攻撃者に窃取されたことで、自社のOktaの管理者アカウントに不正アクセスを試みようとする動きがあったとして、BeyondTrust、Cloudflareの2社が対応や状況をまとめた記事を公開した。2社ともOktaよりも早く攻撃があったことを検知しており、自社のサービスへの影響はない、または最小限に抑えられたとしている。またその後1Passwordも影響を受けていたことを明らかにしており、2社よりも早い9月29日に不審な活動が検出されていた。
  • BeyondTrustがOktaに対してインシデント懸念の連絡を10月2日に行うも、Okta側が問題を認めたのは10月19日と2週間以上が経過してからであった。最も報告の早かった1Passwrdのケースでは、Oktaは当初1Password側がマルウエアに感染、またはフィッシングの被害にあった可能性が高いと想定して調査にあたっていた。
  • その後の調査を通じて、影響を受けた顧客数は134、さらに盗まれたセッショントークンを使用して5つの顧客に対してハイジャックを行っていた。
BeyondTrustのケース (2023年10月20日公表)

  • BeyondTrust(以下BT社と表記)が不審な活動を検出したのは10月2日。Oktaのサポート担当者からBT社のOkta管理者に対して、管理者が対応している継続的なサポートの問題解決を支援するため、HARファイルを送信するよう要求。BTの管理者は要求に従いAPIリクエストとHARファイルを生成しOktaのサポートポータルサイトにアップロードを行った。
  • アップロードから30分以内にVPNに関係のあるマレーシアのIPアドレスからBT社のOkta管理者アカウントで管理コンソールへのアクセスが発生。このIPアドレスの所在地はこれまでの認証イベントやアクティビティで確認されたものではなかった。攻撃者はそのまま認証されてしまったが、BT社は独自のOktaセキュリティポリシーを構成しており、Oktaの管理コンソールへのアクセスは拒否された。ポリシーは既定でアクセスを拒否し、特定の基準が満たされた場合にのみ許可されるものと、管理対象端末上でOkta Verifyを要求するものの2点。
  • 攻撃者はAPIを通じてパスワードの健全性レポートを生成、偽のサービスアカウントの作成をしようと試行。さらにダッシュボードへのアクセスも試みるもMFAが有効となっていた。
Cloudflareのケース (2023年10月21日公表)

  • Cloudflareが不審な活動を検出したのは10月18日。攻撃では2件の従業員のアカウントに対して侵害をしたことが確認された。侵害後に速やかに対応を行ったことから、Cloudflareの顧客への影響は生じなかったとしている。
  • CloudflareはOktaのユーザー企業だけでなくOkta自身に対しても推奨する対応、対策について説明。BT社が報告した10月2日からCloudflareが攻撃に遭う10月18日までの間、攻撃者がサポートケース管理システムにアクセス可能な状態が続いていたとして、Oktaに対してはセキュリティ侵害の報告を真剣に受け止め損害を最小限に抑えるために速やかに行動を起こすよう促すなどしている。
  • CloudflareがOktaユーザー企業に対して推奨する事項は以下の通り。
    • すべてのユーザーアカウントでハードウェアのMFAを導入
    • Oktaインスタンスの予期しないパスワード変更とMFAの変更、サポートが行った不審なイベントなど不審な活動痕跡を確認した際の調査及びパスワードリセットの確認と対応
    • Oktaアカウントの作成など攻撃者が行う活動痕跡の監視
    • セッション有効期限ポリシーを確認(セッションハイジャック攻撃の制限)
    • ツールなどを利用し重要なシステムに接続されているデバイスの検証
    • 検出及び監視対応を行うため多層防御を実践
1Passwordのケース(2023年10月23日公表)

  • 1Passwordが従業員向けアプリの管理に利用しているOktaで不審な活動を検出したのは9月29日。それ以降、Oktaと協力して初期侵入の方法について調査を進めていた。Oktaのサポートケース管理システムに問題があったと確認したのは10月20日遅くであった。
  • 1Passwordがその後行った「徹底的な調査」によれば、1Passwordのユーザーおよび従業員のデータや機密システムへアクセスは行われていないと結論に至ったと説明。

関連タイムライン

日時 出来事
2023年9月28日 Oktaのサポートケース管理システムに対して不正アクセスが行われ始める。
2023年9月29日 1PasswordがOktaインスタンスで不審な活動を検出。
2023年10月2日 BT社のOkta管理者アカウントの不審な認証発生。Oktaのサポートへ懸念連絡。
2023年10月3日 BT社がOktaのサポートケース管理システムが侵害された可能性が高いと結論。OktaのセキュリティチームへのエスカレーションをOktaのサポートへ要求。
2023年10月11日 Oktaサポート、セキュリティ担当者とZoomミーティング。BT社は調査結果を共有しサポートケースデータへアクセスに関連する追加のログを要求。
2023年10月13日 BT社が影響を受けたところが他にいる懸念をサポートへ連絡。
2023年10月18日 Cloudflareの従業員向けのOktaアカウント2件に不審な認証。
同日 Oktaが4件目のセッションハイジャックが行われた顧客へ連絡。
2023年10月19日 BT社がOktaのセキュリティ担当のリーダーと電話連絡。Okta内で侵害を確認しBT社も影響を受けた1社と報告。
同日 Oktaが5件目のセッションハイジャックが行われた顧客へ連絡。
2023年10月20日 Oktaがサポートケース管理システムの不正アクセスについて公表。
同日 BT社がOktaの侵害の影響を受けていたと公表。
2023年10月21日 CloudflareがOktaの侵害の影響を受けていたと公表。
2023年11月2日 全てのOktaの顧客に対して根本原因とその対応について通知。
2023年11月3日 Oktaが根本原因と対応した内容について公開。

Oktaの公式発表

  • 2023年10月20日
  • 2023年11月3日

更新履歴

  • 2023年10月24日 AM 新規作成
  • 2023年10月24日 AM 1Passwordが影響を受けたことについて追記。
  • 2023年11月5日 PM 続報反映(根本原因等)